Unsere Webapi-Endpunkte werden sowohl für browserbasierte Clients (Angular) als auch für nicht browserbasierte Clients (Restsharp) verwendet, und die Webapi werden derzeit mit passiver WS-Federation als Protokoll und ADFS als STS gesichert. Wir verwenden derzeit eine recht komplizierte Problemumgehung für die restsharp-Clients, da die passive WS-Federation für Nicht-Browser-Clients nicht optimal ist. Daher möchten wir einen besseren Weg finden, um unsere Webapi-Endpunkte für diese Clienttypen zu sichern, ohne ADFS ersetzen zu müssen oder zusätzliche Infrastruktur hinzufügen.

ein Verständnis ist, dass OAuth2 "Resource Owner Password Credentials Grant" (grant_type = password) dieses Szenario gut unterstützen würde, aber es wird derzeit leider nicht von ADFS unterstütz

So, meine Frage ist dies, gibt es eine gute Möglichkeit, den einen von ADFS unterstützten OAuth2-Flow zu verwenden, nämlich "Authorization Code Grant Flow" (grant_type = authorization_code), um nicht browserbasierte Clients zu unterstützen?

Wenn dies nicht möglich ist, kann ich WebApi-Endpunkte mit WS-Trust und Inhaber-Token sichern, ohne auf WCF zurückgreifen zu müssen?